Lizenzkosten für Defender for Office 365 einsparen - mit Ausschlüssen!
Krähe mit Hut
Eine korrekte Lizenzierung ist bei vielen Herstellern schwierig zu schaffen. Es gibt bei diesem Thema sehr viele Fallstricke und Besonderheiten - nicht umsonst spricht man oft von einem "Lizenzdschungel". Dies führt typischerweise dazu, dass Unternehmen lieber "zu viel" lizenzieren, um auf der sicheren Seite zu sein.
Mit dem richtigen Partner an seiner Seite muss dies jedoch nicht sein. Es braucht jedoch eine klare Strategie, das entsprechende Wissen und eine entsprechende Pflege, um Lizenzen bedarfsgerecht und kosteneffizient einzusetzen.
Dieser Beitrag beschäftigt sich mit Microsoft Defender for Office 365:
- Wofür wird der Dienst eingesetzt?
- Wer benötigt eine Lizenz?
- Kann man Benutzer von der Lizenzierung ausschließen?
Was ist Microsoft Defender for Office 365?
Microsoft Defender for Office 365 (MDO) ist ein Addon für alle Benutzer mit Zugang zu Teams und/oder einem Exchange-Postfach.
MDO Plan 1 fügt Schutzfunktionen für E-Mails und Dokumente hinzu, die in Teams, SharePoint Online und OneDrive for Business gespeichert sind.
| Funktion | Beschreibung |
|---|---|
| Sichere Links | Defender for Office 365 prüft Links zu Webseiten, die in E-Mails/Teams-Nachrichten/Dokumenten enthalten sind. Sofern eine schädliche Webseite erkannt wird, erhält der Benutzer beim Aufrufversuch eine Warnung und wird je nach Einstellung daran gehindert, die Webseite aufzurufen. |
| Sichere Dokumente | Defender for Office 365 prüft E-Mail- und Teams-Anhänge nach der Anti-Malwareprüfung von Exchange Online Protection erneut, indem Anhänge in einer sicheren Umgebung ausgeführt werden. Je nach Einstellung wird dann nur die Mail oder gar nichts an den Empfänger zugestellt, wenn Schadcode erkannt wird. |
Es ist in folgenden Plänen enthalten:
- Microsoft 365 Business Premium
- Microsoft 365 E3 (ab Juli 2026)
- Office 365 E3 (ab Juli 2026)
MDO Plan 2 fügt Funktionen für die Bereiche Automatisierung, Untersuchung, Wartung und Schulung hinzu. Die Tabelle im offiziellen Artikel zeigt die Unterschiede zwischen den einzelnen Varianten: Microsoft Defender für Office 365-Dienstbeschreibung - Service Descriptions | Microsoft Learn
Es ist in folgenden Plänen enthalten:
- Microsoft 365 A5/E5/G5
- Office 365 A5/E5/G5
Da MDO P1 essenzielle Schutzfunktionen für E-Mail und Teams hinzufügt, sollte es im Sinne einer Basislizenzierung für alle relevanten Benutzer eingesetzt werden.
Wer benötigt eine Lizenz?
MDO ist ein sogenannter mandantenweiter Dienst. Dies bedeutet:
- Bereits eine einzelne Lizenz schaltet die Funktion grundsätzlich für alle Benutzer frei.
- Es gibt keinen Prüfmechanismus, der sicherstellt, dass nur lizenzierte Benutzer die Funktion verwenden dürfen.
- Das Unternehmen muss sicherstellen, dass alle Benutzer lizenziert sind, die von dem Dienst profitieren.
Microsoft ergreift derzeit keine Maßnahmen bei Lizenzverstößen, behält sich dieses Recht jedoch vor. Da Microsoft selbst keinen Mechanismus zur Nutzungsmessung eingebaut hat, lässt dies erahnen, dass dies nicht so einfach ist.
Im Fall von MDO bedeutet dies grundsätzlich folgendes, wobei Gastbenutzer explizit hiervon ausgenommen sind:
- Ist die Funktion "Sichere Anhänge" aktiviert, müssen alle Benutzer lizenziert werden, die auf SharePoint Online, Teams und/oder OneDrive for Business zugreifen.
- Ist die Funktion "Sichere Links" aktiviert, müssen alle Benutzer lizenziert werden, die Microsoft 365 Apps verwenden und/oder auf Teams zugreifen.
- Alle Postfächer mit ein-/ausgehendem E-Mail-Verkehr benötigen eine Lizenz. Hierzu ist zunächst zu klären, welche Postfächer unter diese Regelung fallen:
| Postfachtyp | Beschreibung | Zu lizenzieren |
|---|---|---|
| Benutzerpostfach | Zugriff auf ein Postfach durch eine echte Person | Ja |
| Funktionspostfach | Zugriff auf ein Postfach durch eine Applikation oder ein System | Ja |
| Freigegebenes Postfach | Zentral bereitgestelltes Postfach für den E-Mail-Empfang-/Versand über eine allgemeine Adresse durch mehrere Personen | Ja |
| Ressourcenpostfach | Zentral bereitgestelltes Postfach für die Bereitstellung von Reservierungsfunktionen für gemeinsam genutzte Ressourcen (z.B. Besprechungsräume, Besprechungskomponenten, Fahrzeuge, usw.) | Nein, da solche Postfächer nicht für eine E-Mail-Kommunikation genutzt werden |
Kann man Benutzer von der Lizenzierung ausschließen?
Kurze Antwort: ja! Microsoft erlaubt den Ausschluss von Postfächern mithilfe von integrierten Funktionen.
Lange Antwort: kommt drauf an! 😉
Lange Antwort: da MDO ein sicherheitsrelevanter Dienst ist, muss genau abgewogen werden, welche Postfächer von den Funktionen ausgeschlossen werden können.
Jedes nicht lizenzierte Postfach bzw. jeder nicht lizenzierte Benutzer kann ein Einfallstor für Schadsoftware darstellen.
In meinen Projekten habe ich beispielsweise schon folgendes gesehen:
- Ein Unternehmen muss aufgrund gesetzlicher Vorgaben die Postfächer ausgeschiedener Mitarbeitender weiter aufbewahren. Für diese Postfächer wird allerdings der E-Mail-Empfang komplett deaktiviert. Solche Benutzer müssen dann nicht mehr lizenziert werden, da keine neuen (und potenziell schädlichen) Inhalte entstehen können.
- Ein Unternehmen verwendet für die Verwaltung von Power Platform-Umgebungen und Forms-Umfragen allgemeine Dienstkonten. Für den Zugriff sind diese mit einer Lizenz ausgestattet, die auch Exchange Online umfasst. Diese Benutzer verwenden jedoch das Postfach nicht und greifen auch nicht auf Teams zu. Dementsprechend sind sie von den MDO-Richtlinien ausgenommen.
Der folgende Artikel beschreibt noch einige wissenswerte Details zur korrekten Lizenzierung von Defender for Office 365: New Guidance for MDO P2 Licensing Issued by Microsoft
Wie funktioniert es?
MDO bietet die Möglichkeit, Richtlinien auf bestimmte Postfächer bzw. Gruppen einzuschränken bzw. einzelne Postfächer und Gruppen von Richtlinien auszuschließen.
Da die meisten Postfächer/Benutzer lizenziert werden müssen (siehe Tabelle oben), ist es sinnvoller, das Ausschlussverfahren zu wählen:
- Richtlinien werden grundsätzlich auf alle Objekte/Domänen angewendet.
- Postfächer, die davon ausgenommen werden sollen, werden über eine Gruppe aus der Richtlinie ausgeschlossen.
Da MDO technisch auf Exchange Online aufbaut, wird hierfür eine E-Mail-aktivierte Sicherheitsgruppe benötigt. Normale Entra-Sicherheitsgruppen können nicht verwendet werden.
Grafische Oberfläche
- Gruppenübersicht im Exchange Admin Center aufrufen: Aktive Gruppen - Exchange admin center
- "Gruppe hinzufügen" auswählen
- "E-Mail-aktivierte Sicherheit" auswählen
- Gruppennamen vergeben (Hinweis: wenn die "Weiter"-Schaltfläche trotz Eingabe ausgegraut ist, hilft ein Klick in das Feld "Beschreibung")
- Besitzer und Mitglied(er) zuweisen
- E-Mail-Adresse vergeben (Empfehlung: als Domäne "...onmicrosoft.com" verwenden, da die Gruppe nicht für E-Mail-Kommunikation verwendet wird)
- Assistenten abschließen
Es ist empfehlenswert, die Gruppe nach Erstellung aus der globalen Adressliste auszublenden, da diese nicht für eine E-Mail-Kommunikation verwendet werden soll. Hierzu ist der entsprechende Haken in den Eigenschaften der Gruppe im Register "Einstellungen" zu setzen.
- Übersicht der Richtlinien für sichere Anlagen aufrufen: Security & Compliance
- Eine Richtlinie öffnen
- Unter "Benutzer und Domänen" die Option "Diese Benutzer, Gruppen und Domänen ausschließen" aktivieren und die neue Gruppe einfügen
- Richtlinie speichern
- Schritte für weitere Richtlinien wiederholen
- Übersicht der Richtlinien für sichere Links aufrufen: Sichere Links – Microsoft Defender
- Gruppe wie oben gezeigt in allen Richtlinien einfügen
PowerShell
Über PowerShell lässt sich das Ganze ebenfalls lösen. Hierzu kannst Du ein Skript verwenden, das ich in meinem Skriptnest abgelegt habe.
Das Skript führt die folgenden Schritte durch:
- Abfrage eines Namens für die neue E-Mail-aktivierte Sicherheitsgruppe
- Abfrage der Postfächer, die in die neue Gruppe aufgenommen werden sollen
- Hinzufügen der Gruppenmitglieder
- Anpassung aller MDO-relevanten Richtlinien ("Sichere Links" und "Sichere Anhänge") - hinzufügen der neuen Gruppe zur Ausschlussliste
Gefällt Dir der Beitrag? Lass es andere wissen!
